Преюдициално запитване от Verwaltungsgericht Wien (Австрия), постъпило на 16 март 2022 г. — CK
(Дело C-203/22)
Език на производството: немски
Запитваща юрисдикция
Verwaltungsgericht Wien
Страни в главното производство
Жалбоподател: CK
Ответници: Dun & Bradstreet Austria GmbH, Magistrat der Stadt Wien
Преюдициални въпроси
На какви изисквания във връзка със съдържанието трябва да отговаря предоставена информация, за да бъде квалифицирана като достатъчно „съществена“ по смисъла на член 15, параграф 1, буква з) от Общия регламент относно защитата на данните (ОРЗД)1 ?
Длъжен ли е администраторът в случай на профилиране при предоставянето на достъп до информация относно „използваната логика“ по принцип да разкрива, евентуално при спазване на съществуващата производствена тайна, и информация, която е от съществено значение за създаване на условия за проследимост на резултата от автоматизираното вземане на индивидуални решения и която по-специално включва: 1) разкриването на обработените данни на субекта на данните; 2) разкриването на необходимите за създаването на условия за проследимост части от алгоритъма, на който се основава профилирането и 3) информацията, която е от значение за разкриването на връзката между обработената информация и извършеното оценяване?
Трябва ли в случаите на профилиране, включително и когато е повдигнато възражение за опазване на производствена тайна, при всички положения пред лицето с право на достъп по смисъла на член 15, параграф 1, буква з) от ОРЗД да се разкрива следната информация относно конкретното, отнасящо се до него обработване, за да му се даде възможност да защити правата си, предоставени му от член 22, параграф 3 от ОРЗД:
а) предаване на цялата евентуално псевдоанонимизирана информация, по-специално относно начина на обработването на данните на субекта на данните, които позволяват да се провери дали е спазен ОРЗД;
б) предоставяне на разположение на входните данни, използвани за изготвяне на профилирането;
в) параметрите и входните променливи, използвани при определянето на оценката;
г) влиянието на тези параметри и входни променливи върху изчислената оценка;
д) информацията относно формирането на параметрите, съответно на входните променливи;
е) обяснение на причините, поради които лицето с право на достъп по смисъла на член 15, параграф 1, буква з) от ОРЗД е било свързано с определен резултат от оценката, и представяне на свързания с тази оценка извод;
ж) изброяване на категориите профили и обяснение за това какъв извод от оценката е свързан с всяка една от категориите профили?
Съществува ли връзка между правото на достъп, предоставено от член 15, параграф 1, буква з) от ОРЗД, и гарантираните от член 22, параграф 3 от ОРЗД права на изразяване на собствената гледна точка и на оспорване на осъществено автоматизирано вземане на решение по смисъла на член 22 от ОРЗД, доколкото обхватът на информацията, която следва да бъде предоставена въз основа на искане за достъп по смисъла на член 15, параграф 1, буква з) от ОРЗД, е достатъчно „съществен“ само ако на лицето, което иска достъп и е субект на данните по смисъла на член 15, параграф 1, буква з) от ОРЗД, бъде дадена възможност действително, при пълно познаване на фактите и наличие на изгледи за успешно реализиране да упражни гарантираните му от член 22, параграф 3 от ОРЗД права на изразяване на собствената гледна точка и на оспорване на отнасящо се до него автоматизирано вземане на решение по смисъла на член 22 от ОРЗД?
a) Трябва ли член 15, параграф 1, буква з) от ОРЗД да се тълкува в смисъл, че следва да се приеме, че е налице „съществена информация“ по смисъла на тази разпоредба само ако тази информация е толкова подробна, че за лицето с право на достъп по смисъла на член 15, параграф 1, буква з) от ОРЗД е възможно да установи дали тази предоставена информация също съответства на фактите, тоест дали разкритата информация също така действително е в основата на разглежданото в конкретния случай автоматизирано вземане на решение?
б) При утвърдителен отговор: как следва да се процедира, когато точността на предоставена от администратор информация може да бъде проверена само като се изисква до знанието на лицето с право на достъп по смисъла на член 15, параграф 1, буква з) от ОРЗД да бъдат доведени и данните на трета страна, които са защитени от този регламент („черна кутия“)?
Може ли това противоречие между правото на достъп по смисъла на член 15, параграф 1 от ОРЗД и правото на трета страна на защита на данните да бъде разрешено и като необходимите за проверка на точността данни на трета страна, които също подлежат на същото профилиране, се разкриват само пред органа или съда, поради което органът или съдът е длъжен самостоятелно да провери дали разкритите данни на тези трети страни съответстват на фактите?
в) При утвърдителен отговор: какви права трябва при всички положения да бъдат предоставени на лицето с право на достъп по смисъла на член 15, параграф 1, буква з) от ОРЗД в случая, когато е необходимо да бъде гарантирана защитата на чужди права по смисъла на член 15, параграф 4 от ОРЗД чрез въвеждането на посочената във въпрос 3, буква б) черна кутия?
Трябва ли в този случай пред лицето с право на достъп по смисъла на член 15, параграф 1, буква з) от ОРЗД при всички положения да се разкриват в псевдоанонимизирана форма данните на други лица, които е необходимо да бъдат разкрити, за да се създаде възможност да се провери точността на вземането на решение от страна на администратора по смисъла на член 15, параграф 1 от ОРЗД?
a) Как следва да се процедира, когато информацията, която следва да се предостави по смисъла на член 15, параграф 1, буква з) от ОРЗД отговаря и на изискванията за търговска тайна по смисъла на член 2, точка 1 от Директива 2016/9431 ?
Може ли противоречието между правото на достъп, гарантирано от член 15, параграф 1, буква з) от ОРЗД, и правото на неразкриване на търговска тайна, защитено с Директива 2016/943, да бъде разрешено, като информацията, която следва да бъде квалифицирана като търговска тайна по смисъла на член 2, точка 1 от Директива 2016/943, се разкрива само пред органа или съда, поради което органът или съдът е длъжен самостоятелно да провери дали следва да се приеме, че е налице търговска тайна по смисъла на член 2, точка 1 от Директива 2016/943 и дали информацията, предоставена от администратора по смисъла на член 15, параграф 1 от ОРЗД, съответства на фактите?
б) При утвърдителен отговор: какви права трябва при всички положения да бъдат предоставени на лицето с право на достъп по смисъла на член 15, параграф 1, буква з) от ОРЗД в случая, когато е необходимо да бъде гарантирана защитата на чужди права по смисъла на член 15, параграф 4 от ОРЗД чрез въвеждането на посочената във въпрос 4, буква а) черна кутия?
Трябва ли (и) в тази хипотеза на несъответствие между информацията, която следва да бъде разкрита пред органа, съответно пред съда, и информацията, която следва да бъде разкрита пред лицето с право на достъп по смисъла на член 15, параграф 1, буква з) от ОРЗД, в случаите на профилиране при всички положения пред лицето с право на достъп по смисъла на член 15, параграф 1, буква з) от ОРЗД да се разкрива следната информация относно конкретното, отнасящо се до него обработване, за да му се даде възможност в пълен обхват да защити правата си, предоставени му от член 22, параграф 3 от ОРЗД:
а) предаване на цялата евентуално псевдоанонимизирана информация, по-специално относно начина на обработването на данните на субекта на данните, които позволяват да се провери дали е спазен ОРЗД;
б) предоставяне на разположение на входните данни, използвани за изготвянето на профилирането;
в) параметрите и входните променливи, използвани при определянето на оценката;
г) влиянието на тези параметри и входни променливи върху изчислената оценка;
д) информация относно формирането на параметрите, съответно на входните променливи;
е) обяснение на причините, поради които лицето с право на достъп по смисъла на член 15, параграф 1, буква з) от ОРЗД е било свързано с определен резултат от оценката, и представяне на свързания с тази оценка извод;
ж) изброяване на категориите профили и обяснение за това какъв извод от оценката е свързан с всяка една от категориите профили?
Ограничава ли разпоредбата на член 15, параграф 4 от ОРЗД по някакъв начин обхвата на достъпа, който следва да бъде предоставен съгласно член 15, параграф 1, буква з) от този регламент?
При утвърдителен отговор, по какъв начин член 15, параграф 4 от ОРЗД ограничава това право на достъп и как следва да се определи този обхват на ограничението в съответния случай?
Съвместима ли е с условията по член 15, параграф 1 във връзка с член 22, параграф 3 от ОРЗД разпоредбата на член 4, параграф 6 от Datenschutzgesetz (Закон за защита на данните), съгласно която, без да се засягат други законови ограничения, субектът на данните по принцип няма право да иска от администратора достъп до информация на основание на член 15 от ОРЗД, когато предоставянето на тази информация би застрашило поверителността на търговската тайна или на производствената тайна на администратора, съответно на трета страна? При утвърдителен отговор, при какви условия е налице такава съвместимост?
____________
1 Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (ОВ L 119, 2016 г., стр. 1).
1 Директива (ЕС) 2016/943 на Европейския парламент и на Съвета от 8 юни 2016 година относно защитата на неразкрити ноу-хау и търговска информация (търговски тайни) срещу тяхното незаконно придобиване, използване и разкриване (ОВ L 157, 2016 г., стр. 1).